[Web安全入门]BURP基本使用详解

目录

BURP安装、配置、基本使用

BRUP安装和配置

HTTP简介

http请求包格式

http应答包格式

http状态值

burp功能详解

target标签

target在渗透攻防中的利用

dashboard仪表盘

scanner扫描器

proxy标签

intruder标签

repeater标签

comparer对比标签

BURP安装、配置、基本使用

BRUP安装和配置

前置条件：

安装好jdk11并配置好环境变量

首先下载官方的安装包和对应版本的burploader，使用burploader进行激活

1.安装burp

依据自己的使用习惯为burp选择一个安装目录

2.安装完成后进入burp主目录，将burploader.jar放到主目录中，并运行

3.如果是绿色版的jdk可能会出现双击不能运行的情况，win11可以打开终端，在里面输入java -jar
你的burp主目录名\burploader.jar，成功运行后界面如图所示，点击run行burp

4.将license的内容拷贝到刚开始的大框框中，点击next，然后点击manual activation，将copy the following data
… 的内容拷贝到activation request中后将下面 activation responser的内容拷贝到paste below
…中点击next就可以成功激活。

5.汉化教程（如果需要），将汉化包也拷贝到burp主目录中

6.优化启动方式：创建两个文本文件，后缀改名为.bat，一个用来中文启动一个用来汉化启动。

中文启动的内容为：

@java --illegal-access=permit -Dfile.encoding=utf-8
-javaagent:BurpSuiteChs.jar -noverify -javaagent:burploader.jar -jar
burpsuite_pro.jar

英文启动的内容为：

@java --illegal-access=permit -Dfile.encoding=utf-8 -noverify
-javaagent:burploader.jar -jar burpsuite_pro.jar

保存好之后以后就可以双击启动了

7.浏览器设置，以firefox为例，进入firefox应用商店搜索switchy，下载如下插件

8.设置proxy的代理模式如下图

9.设置burp如下图所示达到和浏览器联动的目的，在需要使用burp抓包时将浏览器切换到proxy模式

10.进入http://burp点击右上角下载证书，在浏览器设置中搜索证书，查看证书-证书颁发机构-导入，将其导入。

导入之后，会提示有是否信任的选项。全部选上，导入。

![](https://img-
blog.csdnimg.cn/d70c4702809c4405be48a0f0f2729c18.png)![](https://img-
blog.csdnimg.cn/e5a198eb86b94c8d8dbe2ee60478e79b.png)

自此burp就可以正常使用了

HTTP简介

http请求包格式

请求方法 请求资源（目录结构/目录文件/传参的参数[GET]） HTTP版本

host: 主机名

User-Agent：客户端基本环境信息

Content-Type：传参的类型

Content-Length: 请求包长度

Referer: 上一步来源。

X-Forwarded-For：当前身份ip

Cookie：用户身份标识

http应答包格式

HTTP版本 返回状态值 服务端自定变量

Date：日期

Server：服务端相关信息

X-Powered-By：当前编程语言环境

Content-Length: 返回包长度

当前响应回客户端（浏览器）的前端代码

http状态值

如果某项请求发送到您的服务器要求显示您网站上的某个网页（例如，用户通过浏览器访问您的网页或 Googlebot 抓取网页时），服务器将会返回 HTTP
状态码响应请求。

此状态码提供关于请求状态的信息，告诉 Googlebot 关于您的网站和请求的网页的信息。

一些常见的状态码为：

200 - 服务器成功返回网页

404 - 请求的网页不存在

503 - 服务器超时

1xx（临时响应）

表示临时响应并需要请求者继续执行操作的状态码。

100（继续） 请求者应当继续提出请求。服务器返回此代码表示已收到请求的第一部分，正在等待其余部分。

101（切换协议） 请求者已要求服务器切换协议，服务器已确认并准备切换。

2xx （成功）表示成功处理了请求的状态码。

200（成功） 服务器已成功处理了请求。通常，这表示服务器提供了请求的网页。如果是对您的 robots.txt 文件显示此状态码，则表示 Googlebot
已成功检索到该文件。

201（已创建） 请求成功并且服务器创建了新的资源。

202（已接受） 服务器已接受请求，但尚未处理。

203（非授权信息） 服务器已成功处理了请求，但返回的信息可能来自另一来源。

204（无内容） 服务器成功处理了请求，但没有返回任何内容。

205（重置内容） 服务器成功处理了请求，但没有返回任何内容。与 204 响应不同，此响应要求请求者重置文档视图（例如，清除表单内容以输入新内容）。

206（部分内容） 服务器成功处理了部分 GET 请求。

3xx （重定向） 要完成请求，需要进一步操作。通常，这些状态码用来重定向。Google 建议您在每次请求中使用重定向不要超过 5
次。您可以使用网站管理员工具查看一下 Googlebot 在抓取重定向网页时是否遇到问题。诊断下的网络抓取页列出了由于重定向错误导致 Googlebot
无法抓取的网址。

300（多种选择） 针对请求，服务器可执行多种操作。服务器可根据请求者 (user agent) 选择一项操作，或提供操作列表供请求者选择。

301（永久移动） 请求的网页已永久移动到新位置。服务器返回此响应（对 GET 或 HEAD 请求的响应）时，会自动将请求者转到新位置。您应使用此代码告诉
Googlebot 某个网页或网站已永久移动到新位置。

302（临时移动） 服务器目前从不同位置的网页响应请求，但请求者应继续使用原有位置来响应以后的请求。此代码与响应 GET 和 HEAD 请求的 301
代码类似，会自动将请求者转到不同的位置，但您不应使用此代码来告诉 Googlebot 某个网页或网站已经移动，因为 Googlebot
会继续抓取原有位置并编制索引。

303（查看其他位置） 请求者应当对不同的位置使用单独的 GET 请求来检索响应时，服务器返回此代码。对于除 HEAD
之外的所有请求，服务器会自动转到其他位置。

304（未修改）
自从上次请求后，请求的网页未修改过。服务器返回此响应时，不会返回网页内容。如果网页自请求者上次请求后再也没有更改过，您应将服务器配置为返回此响应（称为
If-Modified-Since HTTP 标头）。服务器可以告诉 Googlebot 自从上次抓取后网页没有变更，进而节省带宽和开销。

305（使用代理） 请求者只能使用代理访问请求的网页。如果服务器返回此响应，还表示请求者应使用代理。

307（临时重定向） 服务器目前从不同位置的网页响应请求，但请求者应继续使用原有位置来响应以后的请求。此代码与响应 GET 和 HEAD 请求的 <a
href=answer.py?answer=>301 代码类似，会自动将请求者转到不同的位置，但您不应使用此代码来告诉 Googlebot
某个页面或网站已经移动，因为 Googlebot 会继续抓取原有位置并编制索引。

4xx（请求错误） 这些状态码表示请求可能出错，妨碍了服务器的处理。

400（错误请求） 服务器不理解请求的语法。

401（未授权） 请求要求身份验证。对于登录后请求的网页，服务器可能返回此响应。

403（禁止） 服务器拒绝请求。如果您在 Googlebot 尝试抓取您网站上的有效网页时看到此状态码（您可以在 Google
网站管理员工具诊断下的网络抓取页面上看到此信息），可能是您的服务器或主机拒绝了 Googlebot 访问。

404（未找到）

服务器找不到请求的网页。例如，对于服务器上不存在的网页经常会返回此代码。

如果您的网站上没有 robots.txt 文件，而您在 Google 网站管理员工具"诊断"标签的 robots.txt
页上看到此状态码，则这是正确的状态码。但是，如果您有 robots.txt 文件而又看到此状态码，则说明您的 robots.txt
文件可能命名错误或位于错误的位置（该文件应当位于顶级域，名为 robots.txt）。

如果对于 Googlebot 抓取的网址看到此状态码（在"诊断"标签的 HTTP 错误页面上），则表示 Googlebot
跟随的可能是另一个页面的无效链接（是旧链接或输入有误的链接）。

405（方法禁用） 禁用请求中指定的方法。

406（不接受） 无法使用请求的内容特性响应请求的网页。

407（需要代理授权） 此状态码与 <a
href=answer.py?answer=35128>401（未授权）类似，但指定请求者应当授权使用代理。如果服务器返回此响应，还表示请求者应当使用代理。

408（请求超时） 服务器等候请求时发生超时。

409（冲突） 服务器在完成请求时发生冲突。服务器必须在响应中包含有关冲突的信息。服务器在响应与前一个请求相冲突的 PUT
请求时可能会返回此代码，以及两个请求的差异列表。

410（已删除） 如果请求的资源已永久删除，服务器就会返回此响应。该代码与 404（未找到）代码类似，但在资源以前存在而现在不存在的情况下，有时会用来替代
404 代码。如果资源已永久移动，您应使用 301 指定资源的新位置。

411（需要有效长度） 服务器不接受不含有效内容长度标头字段的请求。

412（未满足前提条件） 服务器未满足请求者在请求中设置的其中一个前提条件。

413（请求实体过大） 服务器无法处理请求，因为请求实体过大，超出服务器的处理能力。

414（请求的 URI 过长） 请求的 URI（通常为网址）过长，服务器无法处理。

415（不支持的媒体类型） 请求的格式不受请求页面的支持。

416（请求范围不符合要求） 如果页面无法提供请求的范围，则服务器会返回此状态码。

417（未满足期望值） 服务器未满足"期望"请求标头字段的要求。

5xx（服务器错误）这些状态码表示服务器在处理请求时发生内部错误。这些错误可能是服务器本身的错误，而不是请求出错。

500（服务器内部错误） 服务器遇到错误，无法完成请求。

501（尚未实施） 服务器不具备完成请求的功能。例如，服务器无法识别请求方法时可能会返回此代码。

502（错误网关） 服务器作为网关或代理，从上游服务器收到无效响应。

503（服务不可用） 服务器目前无法使用（由于超载或停机维护）。通常，这只是暂时状态。

504（网关超时） 服务器作为网关或代理，但是没有及时从上游服务器收到请求。

505（HTTP 版本不受支持） 服务器不支持请求中所用的 HTTP 协议版本。

burp功能详解

target标签

用来收集当前浏览器（客户端web）发送的所有请求流量及目标服务端返回的响应流量，类似于流量监控。

1栏中是流量信息，其中包含着你所请求的流量

2栏中是对1栏中内容的一个展开目录

3栏中是重要信息，其中包含一些漏洞信息（不过基本没什么用）灰色和蓝色代表正常，红色代表有问题

4栏中是对3栏中内容的详细介绍

5栏和6栏中是请求数据包和应答数据包的内容

target在渗透攻防中的利用

1. 可以用来收集目标站点的更多资产
2. 可以探测一些自动加载的接口、内容等，有的内容并不能被访问者直接看见，通过抓包的方式就可以一目了然。

dashboard仪表盘

代表着一些监控问题及日志和显示当前burp自动爬取目标网站的可行度

scanner扫描器

scanner扫描器可以实现对目标站点的自动爬取，通过右键选取target中的内容可以开始扫描对应站点

1是扫描的具体细节，可以选择审计和爬取模式

2是扫描配置，可以选择扫描的深度，速度等信息

3是可以实现自动登录的一个功能

4是资源池

5用来指定扫描使用的协议

6指定扫描的网址

proxy标签

主要用来抓包使用，在开启监听之后可以拦截数据包并选择接下来的动作

forward 代表发送这一个包

drop 代表丢弃者一个包

intercept 代表拦截包/放掉所有包（开关）

action 代表这个包要执行的所有操作，可以选择将这个数据包发送到其他标签进行进一步操作。

intruder标签

可以用来暴力破解用户名及密码，爆破目录，或者参数

爆破实例：

打开靶机，开始监听抓包，随意输入账户名和密码

将有敏感信息的包发送给Intruder

配置暴力破解的参数及位置，目标默认不变

确定爆破的位置，只爆破密码，所以只给密码加上变量标识符，勾选密码字段点击右边的add$

加载密码字典文件。

调整线程（默认即可）

最后右上角开始攻击

当前爆破的状态

寻找哪个爆破成功了，可以点击length进行排序，也就是一个找不同的过程

repeater标签

可以有变化的、有更改的发送多次请求，并且得到响应状态。

在里面可以编辑数据包并发送，查看实时回复流量

comparer对比标签

可以用来对比两个数据包中不同的内容，不同的内容将高亮框选

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！